Como dividir arquivos tcpdump grandes

Navegue suas respostas
7

Existe algo que pode dividir o arquivo tcpdump após a captura e garantir que as quebras estão na borda dos dados do pacote?

Como -C , mas depois do fato.

    
por Kyle Brandt 18.03.2010 / 12:59

5 respostas

9

Eu usei editcap no passado, com grande sucesso. 

editcap -c 1000 large-in.pcap smaller-out

Esse comando deve gerar um ou mais arquivos chamados smaller-out-00000 , smaller-out-00001 e assim por diante, contendo os primeiros, segundo, etc. mil arquivos do arquivo de entrada.

    
por 18.03.2010 / 14:24
4
O

TCPSplit fará isso. Ele até garante que você não perca as sessões TCP no intervalo.

    
por 18.03.2010 / 16:41
3

Você pode usar editcap para dividir com base no número de pacotes (ou intervalo de tempo), ou se realmente precisar dividir com base no tamanho, tente este script .

    
por 18.03.2010 / 14:25
1

Você já olhou para csplit ?

    
por 18.03.2010 / 13:04
1

Para simplesmente dividir para um tamanho gerenciável, você deve ser capaz de fazer isso com o próprio tcpdump, usando as opções -C, -w e -r. mas eu não tentei isso.

    
por 18.03.2010 / 16:02

Tags

Um registro VS. Cname Rodada N Administrador do Sys Contrato [fechado]